Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz DSG-EKD) 1

Transkript

1 Datenschutzgesetz DSG-EKD 95 A Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz DSG-EKD) 1 Vom 12. November 1993 ABl.EKD 1993, S. 505, in der Bekanntmachung der Neufassung vom 1. Januar 2013 (ABl. EKD 2013, S. 2), Berichtigung vom 1. Februar 2013 (ABl. EKD 2013, S. 34) Inhaltsübersicht 1 Zweck und Anwendungsbereich 2 Begriffsbestimmungen 2 a Datenvermeidung und Datensparsamkeit 3 Erhebung, Verarbeitung und Nutzung 3 a Einwilligung der Betroffenen 4 Datenerhebung 5 Datenspeicherung, -veränderung und -nutzung 6 Datengeheimnis 7 Unabdingbare Rechte der betroffenen Personen 7 a Videobeobachtung und Videoaufzeichnung (Videoüberwachung) 7 b Mobile personenbezogene Speicher- und Bearbeitungsmedien 8 Schadensersatz durch kirchliche Stellen 9 Technische und organisatorische Maßnahmen, IT-Sicherheit 9 a Datenschutzaudit 10 Einrichtung automatisierter Abrufverfahren 11 Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag 12 Datenübermittlung an kirchliche oder sonstige öffentliche Stellen 13 Datenübermittlung an sonstige Stellen 14 Durchführung des Datenschutzes 15 Auskunft an die betroffene Person 15 a Benachrichtigung 16 Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht 17 Anrufung der Beauftragten für den Datenschutz 18 Rechtsstellung der Beauftragten für den Datenschutz 18 a Der oder die Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland 18 b Beauftragte für den Datenschutz der Gliedkirchen der Evangelischen Kirche in Deutschland 19 Aufgaben der Beauftragten für den Datenschutz 20 Beanstandungsrecht der Beauftragten für den Datenschutz 1 Red. Anm.: Ausführungsbestimmungen in Nr dieser Sammlung EVLKA 1

2 95 A DSG-EKD Datenschutzgesetz 21 Meldepflicht 21 a Inhalt der Meldepflicht 22 Betriebsbeauftragte und örtlich Beauftragte für den Datenschutz 23 Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen 24 Datenerhebung, -verarbeitung und -nutzung bei Dienst- und Arbeitsverhältnissen 25 Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen 26 Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Medien 27 Ergänzende Bestimmungen, Rechtsweg Anlage (zu 9 Absatz 1) EVLKA

3 Datenschutzgesetz DSG-EKD 95 A 1 Zweck und Anwendungsbereich (1) Zweck dieses Kirchengesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. (2) 1Dieses Kirchengesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Evangelische Kirche in Deutschland, ihre Gliedkirchen und ihre gliedkirchlichen Zusammenschlüsse sowie die ihnen zugeordneten kirchlichen und diakonischen Werke und Einrichtungen ohne Rücksicht auf deren Rechtsform und rechtsfähige evangelische Stiftungen des bürgerlichen Rechts (kirchliche Stellen). 2Die Evangelische Kirche in Deutschland, ihre Gliedkirchen und ihre gliedkirchlichen Zusammenschlüsse haben sicherzustellen, dass auch in den ihnen organisatorisch zugeordneten Werken und Einrichtungen dieses Kirchengesetz sowie Ausführungsbestimmungen und seine ergänzenden Durchführungsbestimmungen Anwendung finden. 3Die Evangelische Kirche in Deutschland und die Gliedkirchen führen jeweils für ihren Bereich eine Übersicht über die kirchlichen Werke und Einrichtungen mit eigener Rechtspersönlichkeit, für die dieses Kirchengesetz gilt. 4In die Übersicht sind Name, Anschrift, Rechtsform und Tätigkeitsbereich der kirchlichen Werke und Einrichtungen aufzunehmen. (3) Dieses Kirchengesetz ist nur eingeschränkt anwendbar 1. auf automatisierte Dateien, die ausschließlich aus verarbeitungstechnischen Gründen vorübergehend erstellt und nach ihrer verarbeitungstechnischen Nutzung automatisch gelöscht werden; insoweit gelten nur die 6 und 9; 2. 1auf nicht automatisierte Dateien, deren personenbezogene Daten nicht zur Übermittlung an Dritte bestimmt sind; insoweit gelten nur die 6, 9, 23 und 25. 2Werden im Einzelfall personenbezogene Daten übermittelt, gelten für diesen Einzelfall die Vorschriften dieses Kirchengesetzes uneingeschränkt. (4) 1Pfarrer und Pfarrerinnen sowie sonstige kirchliche Mitarbeiter und Mitarbeiterinnen dürfen in Wahrnehmung ihres Seelsorgeauftrages eigene Aufzeichnungen führen und verwenden; diese dürfen Dritten nicht zugänglich sein. 2Die besonderen Bestimmungen über den Schutz des Beicht- und Seelsorgegeheimnisses sowie über die Amtsverschwiegenheit bleiben unberührt. 3Das Gleiche gilt für die sonstigen Verpflichtungen zur Wahrung gesetzlicher Geheimhaltungs- und Verschwiegenheitspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen. (5) Die Vorschriften dieses Kirchengesetzes gehen denen des Verwaltungsverfahrensund -zustellungsgesetzes der Evangelischen Kirche in Deutschland vor, soweit bei der Ermittlung des Sachverhaltes personenbezogene Daten verarbeitet werden EVLKA 3

4 95 A DSG-EKD Datenschutzgesetz (6) Soweit besondere Regelungen in anderen kirchlichen Rechtsvorschriften auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Kirchengesetzes vor. 2 Begriffsbestimmungen (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (betroffene Person). (2) 1Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. 2Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugängig ist und ausgewertet werden kann. (3) Erheben ist das Beschaffen von personenbezogenen Daten über die betroffene Person. (4) 1Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen von personenbezogenen Daten. 2Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: 1. Speichern das Erfassen, Aufnehmen oder Aufbewahren von personenbezogenen Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung, 2. Verändern das inhaltliche Umgestalten von gespeicherten personenbezogener Daten, 3. Übermitteln das Bekanntgeben von gespeicherten oder durch Datenverarbeitung gewonnener personenbezogener Daten an Dritte in der Weise, dass a) die Daten an Dritte weitergegeben werden oder b) Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsehen oder abrufen, 4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken, 5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten. (5) Nutzen ist jede Verwendung von personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. (6) Anonymisieren ist das Verändern von personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer betroffenen Person zugeordnet werden können. (7) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung der betroffenen Person auszuschließen oder wesentlich zu erschweren EVLKA

5 Datenschutzgesetz DSG-EKD 95 A (8) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. (9) Empfänger ist jede Person oder Stelle, die personenbezogene Daten erhält. (10) 1Dritte sind Personen und Stellen außerhalb der verantwortlichen Stelle. 2Dritte sind nicht die betroffene Person sowie diejenigen Personen und Stellen, die im Geltungsbereich dieses Kirchengesetzes personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. (11) 1Besondere Arten personenbezogener Daten sind Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. 2Dazu gehört nicht die Zugehörigkeit zu einer Kirche oder sonstigen Religionsgemeinschaft. (12) Mobile personenbezogene Speicher- und Bearbeitungsmedien sind Datenträger, 1. die an den Betroffenen ausgegeben werden, 2. auf deren personenbezogene Daten über die Speicherung hinaus durch die ausgebende Stelle oder eine andere Stelle automatisiert verarbeitet werden können und 3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann. (13) Beschäftigte sind: 1. in einem Pfarrdienst- oder in einem kirchlichen Beamtenverhältnis stehende Personen, 2. Arbeitnehmer und Arbeitnehmerinnen, 3. zu ihrer Berufsausbildung Beschäftigte, 4. Teilnehmende an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobungen (Rehabilitationen), 5. Beschäftigte in anerkannten Werkstätten für behinderte Menschen, 6. nach dem Bundesfreiwilligendienstgesetz, oder in vergleichbaren Diensten, Beschäftigte, 7. Personen, die wegen ihrer wirtschaftlichen Unselbstständigkeit als arbeitnehmerähnliche Personen anzusehen sind, 8. Bewerbende für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist. (14) Sicherheit beim Einsatz von Informationstechnik (IT-Sicherheit) umfasst den Schutz der mit Informationstechnik erhobenen und verarbeiteten Daten insbesondere vor unberechtigtem Zugriff, vor unerlaubten Änderungen und vor der Gefahr des Verlustes, um deren Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten EVLKA 5

6 95 A DSG-EKD Datenschutzgesetz 2 a Datenvermeidung und Datensparsamkeit 1Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. 2Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. 3 Erhebung, Verarbeitung und Nutzung Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit die betroffene Person eingewilligt hat. 3 a Einwilligung der Betroffenen (1) 1Die Einwilligung der Betroffenen ist nur wirksam, wenn sie auf deren freier Entscheidung beruht. 2Sie sind auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. 3Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. 4Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben. (2) 1Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. 2In diesem Fall sind der Hinweis nach Abs. 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten. (3) Soweit besondere Arten personenbezogener Daten nach 2 Abs. 11 erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen. 4 Datenerhebung (1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen kirchlichen Stelle erforderlich ist EVLKA

7 Datenschutzgesetz DSG-EKD 95 A (2) 1Personenbezogene Daten sind bei der betroffenen Person zu erheben. 2Ohne ihre Mitwirkung dürfen sie nur erhoben werden, wenn 1. eine kirchliche oder staatliche Rechtsvorschrift dies vorsieht, zwingend voraussetzt oder 2. die Wahrnehmung des kirchlichen Auftrags die Erhebung erfordert und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen verletzt werden, sofern a) dies zu erfüllende Aufgabe ihrer Art nach eine Erhebung bei anderen Personen oder kirchlichen Stellen erforderlich macht oder b) die Erhebung bei der betroffenen Person einen unverhältnismäßigen Aufwand erforderte oder c) die betroffene Person einer durch Rechtsvorschrift festgelegten Auskunftspflicht nicht nachgekommen und über die beabsichtigte Erhebung der Daten unterrichtet worden ist. (3) Werden personenbezogene Daten bei der betroffenen Person erhoben, so ist sie auf Verlangen über den Erhebungszweck, über die Rechtsvorschrift, die zur Auskunft verpflichtet, und über die Folgen der Verweigerung von Angaben aufzuklären. (4) Werden personenbezogene Daten statt bei der betroffenen Person bei einer nicht kirchlichen oder nicht öffentlichen Stelle erhoben, so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen. (5) Das Erheben besonderer Arten personenbezogener Daten nach 2 Abs. 11 ist nur zulässig, soweit 1. eine Rechtsvorschrift dies vorsieht, 2. der Betroffene nach Maßgabe des 3a Abs. 3 eingewilligt hat, 3. dies zum Schutze lebenswichtiger Interessen der betroffenen Person oder Dritter erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, 4. es sich um Daten handelt, die die betroffene Person offenkundig öffentlich gemacht hat, 5. Grund zu der Annahme besteht, dass andernfalls die Wahrnehmung des Auftrages der Kirche oder die Glaubwürdigkeit ihres Dienstes ernsthaft gefährdet würde, 6. dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder EVLKA 7

8 95 A DSG-EKD Datenschutzgesetz 7. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Erhebung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. 5 Datenspeicherung, -veränderung und -nutzung (1) 1Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der Zuständigkeit der verantwortlichen kirchlichen Stelle liegenden Aufgabe erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. 2Ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind. (2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn 1. eine kirchliche Rechtsvorschrift dies vorsieht, 2. eine staatliche Rechtsvorschrift dies vorsieht oder zwingend voraussetzt und kirchliche Interessen nicht entgegenstehen, 3. die betroffene Person eingewilligt hat, 4. offensichtlich ist, dass es im Interesse der betroffenen Person liegt, und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zweckes ihre Einwilligung verweigern würde, 5. Angaben der betroffenen Person überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen, 6. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche kirchliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Zweckänderung offensichtlich überwiegt, 7. Grund zu der Annahme besteht, dass andernfalls die Wahrnehmung des Auftrages der Kirche gefährdet würde, 8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder 9. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann EVLKA

9 Datenschutzgesetz DSG-EKD 95 A (3) 1Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der Wahrnehmung von Visitations-, Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung, der Revision oder der Durchführung von Organisationsuntersuchungen für die speichernde kirchliche Stelle dient. 2Das gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken durch die speichernde kirchliche Stelle, soweit nicht überwiegende schutzwürdige Interessen der betroffenen Person entgegenstehen. (4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden. (5) Das Speichern, Verändern oder Nutzen von besonderen Arten personenbezogener Daten nach 2 Abs. 11 für andere Zwecke ist nur zulässig, wenn 1. die Voraussetzungen vorliegen, die eine Erhebung nach 4 Abs. 5 Nr. 1 bis 5 zuließen, oder 2. 1dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das kirchliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. 2Bei dieser Abwägung ist im Rahmen des kirchlichen Interesses das wissenschaftliche Interesse an dem Forschungsvorhaben besonders zu berücksichtigen. 6 Datengeheimnis 1Den mit dem Umgang von Daten betrauten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). 2Diese Personen sind soweit sie nicht aufgrund anderer kirchlicher Bestimmungen zur Verschwiegenheit verpflichtet wurden bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. 3Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. 7 Unabdingbare Rechte der betroffenen Personen (1) Die Rechte der betroffenen Person auf Auskunft ( 15) und auf Berichtigung, Löschung oder Sperrung von Daten ( 16) können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden. (2) 1Sind die Daten der betroffenen Person automatisiert in der Weise gespeichert, dass mehrere Stellen speicherungsberechtigt sind, und ist die betroffene Person nicht in der Lage die speichernde Stelle festzustellen, welche Stelle die Daten gespeichert hat, so kann EVLKA 9

10 95 A DSG-EKD Datenschutzgesetz sie sich an jede dieser Stellen wenden. 2Diese ist verpflichtet, das Vorbringen der betroffenen Person an die Stelle, die die Daten gespeichert hat, weiterzuleiten. 3Die betroffene Person ist über die Weiterleitung und jene Stelle zu unterrichten. (3) Personenbezogene Daten über die Ausübung eines Rechts der betroffenen Person, das sich aus diesem Kirchengesetz oder aus einer anderen kirchlichen Vorschrift über den Datenschutz ergibt, dürfen nur zur Erfüllung der sich aus der Ausübung des Rechts ergebenden Pflicht der verantwortlichen Stelle verwendet werden. 7 a Videobeobachtung und Videoaufzeichnung (Videoüberwachung) (1) 1Die Beobachtung öffentlich zugänglicher und besonders gefährdeter nicht öffentlich zugänglicher Bereiche innerhalb und außerhalb von Dienstgebäuden mit optisch-elektronischen Einrichtungen (Videobeobachtung) ist nur zulässig, soweit sie in Ausübung des Hausrechts der kirchlichen Stelle 1. zum Schutz von Personen und Sachen oder 2. zur Überwachung von Zugangsberechtigungen erforderlich ist und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. 2Während der Gottesdienste ist eine Videoüberwachung unzulässig. (2) 1Die nach Absatz 1 erhobenen Daten dürfen nur gespeichert werden (Videoaufzeichnung), wenn Tatsachen die Annahme rechtfertigen, dass mit einer Verletzung der Rechtsgüter nach Absatz 1 künftig zu rechnen ist und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. 2Eine weitere Verarbeitung der erhobenen Daten ist zulässig für den Zweck, für den sie erhoben wurden. 3Für einen anderen Zweck ist sie nur zulässig, soweit dies zur Verfolgung von Straftaten oder zur Abwehr von Gefahren für Leib, Leben oder Freiheit einer Person oder für bedeutende Sach- oder Vermögenswerte erforderlich ist. (3) Videobeobachtung und Videoaufzeichnung sowie die verantwortliche Stelle sind durch geeignete Maßnahmen für die Betroffenen erkennbar zu machen, soweit dies nicht offensichtlich ist. (4) 1Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet und verarbeitet, so ist diese über die jeweilige Verarbeitung zu benachrichtigen. 2Von der Benachrichtigung kann abgesehen werden 1. solange das öffentliche Interesse an der Strafverfolgung das Recht auf Benachrichtigung der betroffenen Person erheblich überwiegt oder 2. wenn die Benachrichtigung im Einzelfall einen unverhältnismäßigen Aufwand erfordert EVLKA

11 Datenschutzgesetz DSG-EKD 95 A (5) 1Aufzeichnungen einschließlich Kopien und daraus gefertigte Unterlagen sind spätestens nach einer Woche zu löschen oder zu vernichten, soweit sie zum Erreichen des verfolgten Zwecks nicht mehr zwingend erforderlich sind. 2Sie sind unverzüglich zu löschen, soweit schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. (6) 1 9 Absatz 1 findet Anwendung. 2Wird Videoüberwachung eingesetzt, sind technische und organisatorische Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass 1. nur Befugte die durch Videoüberwachung erhobenen Daten zur Kenntnis nehmen können (Vertraulichkeit), 2. die durch Videoüberwachung erhobenen Daten bei der Verarbeitung unverfälscht, vollständig und widerspruchsfrei bleiben (Integrität), 3. die durch Videoüberwachung erhobenen Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit), 4. die durch Videoüberwachung erhobenen Daten ihrem Ursprung zugeordnet werden können (Authentizität), 5. festgestellt werden kann, wer wann welche durch Videoüberwachung erhobenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit). (7) 1Die Daten verarbeitende Stelle legt in einer laufend auf dem neuesten Stand zu haltenden Dokumentation fest: 1. den Namen und die Anschrift der Daten verarbeitenden Stelle, 2. den Zweck der Videoüberwachung, 3. die Rechtsgrundlage der Videoüberwachung, 4. den Kreis der Betroffenen, 5. den Personenkreis, der Zugang zu den durch Videoüberwachung erhobenen Daten erhält, 6. die Abwägung der mit der Videoüberwachung verfolgten Ziele mit den mit der Videoüberwachung konkret verbundenen Gefahren für die Rechte der Betroffenen, 7. die technischen und organisatorischen Maßnahmen nach Absatz 6, 8. die Art der Geräte, ihren Standort und den räumlichen Überwachungsbereich, 9. die Art der Überwachung, 10. die Dauer der Überwachung. 2Die Daten verarbeitende Stelle kann die Angaben nach Satz 1 für mehrere gleichartige Videoüberwachungen in einer Dokumentation zusammenfassen. 3Die Betriebsbeauftragten und örtlichen Beauftragten führen die Dokumentation und halten sie zur Einsicht bereit. 4Die Dokumentationen können bei der kirchlichen Stelle von jeder Person eingesehen EVLKA 11

12 95 A DSG-EKD Datenschutzgesetz werden; für die Angaben nach Satz 1 Nr. 7 und 8 gilt dies nur, soweit die Sicherheit der Videoüberwachung nicht beeinträchtigt wird. (8) Die Videoüberwachung ist mindestens alle zwei Jahre auf ihre weitere Erforderlichkeit zu überprüfen. (9) Beim Einsatz von Videokamera-Attrappen finden die Absätze 1, 3 und 8 entsprechende Anwendung. 7 b Mobile personenbezogene Speicher- und Bearbeitungsmedien (1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereit hält, muss die betroffene Person 1. über ihre Identität und Anschrift, 2. in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten, 3. darüber, wie sie ihre Rechte nach den 15, 15 a und 16 ausüben kann, und 4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen unterrichten, soweit sie nicht bereits Kenntnis erlangt hat. (2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen. (3) Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für die betroffene Person eindeutig erkennbar sein. 8 Schadensersatz durch kirchliche Stellen (1) 1Fügt eine kirchliche Stelle der betroffenen Person durch eine nach den Vorschriften dieses Kirchengesetzes oder nach anderen kirchlichen Vorschriften über den Datenschutz unzulässige oder unrichtige automatisierte Verarbeitung ihrer personenbezogenen Daten einen Schaden zu, ist sie der betroffenen Person zum Ersatz des daraus entstehenden Schadens verpflichtet. 2Für die Verarbeitung der von staatlichen oder kommunalen Stellen sowie von Sozialleistungsträgern übermittelten personenbezogenen Daten durch kirchliche Stellen, die nicht privatrechtlich organisiert sind, gilt diese Verpflichtung zum Schadensersatz unabhängig von einem Verschulden; bei einer schweren Verletzung des Persönlichkeitsrechts ist der betroffenen Person der Schaden, der nicht Vermögensschaden ist, angemessen in Geld zu ersetzen EVLKA

13 Datenschutzgesetz DSG-EKD 95 A (2) 1Die Ansprüche nach Absatz 1 Satz 2 sind insgesamt bis zu einem Betrag in Höhe von Euro begrenzt. 2Ist aufgrund desselben Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag von Euro übersteigt, so verringern sich die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr Gesamtbetrag zum Höchstbetrag steht. (3) Sind bei einer automatisierten Verarbeitung mehrere Stellen speicherungsberechtigt und ist die geschädigte Person nicht in der Lage, die speichernde Stelle festzustellen, so haftet jede dieser Stellen. (4) Mehrere Ersatzpflichtige haften als Gesamtschuldner im Sinne des Bürgerlichen Gesetzbuchs. (5) Auf das Mitverschulden der betroffenen Person ist 254 des Bürgerlichen Gesetzbuches und auf die Verjährung sind die Verjährungsfristen des Bürgerlichen Gesetzbuches entsprechend anzuwenden. (6) Macht eine betroffene Person gegenüber einer kirchlichen Stelle einen Anspruch auf Schadensersatz wegen einer nach diesem Kirchengesetz oder anderen Vorschriften über den Datenschutz unzulässigen oder unrichtigen automatisierten Datenverarbeitung geltend und ist streitig, ob der Schaden die Folge eines von der verantwortlichen Stelle zu vertretenden Umstandes ist, so trifft die Beweislast die verantwortliche Stelle. (7) Vorschriften, nach denen Ersatzpflichtige in weiterem Umfang als nach dieser Vorschrift haften oder nach denen andere für den Schaden verantwortlich sind, bleiben unberührt. 9 Technische und organisatorische Maßnahmen, IT-Sicherheit (1) 1Kirchliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Kirchengesetzes, insbesondere die in der Anlage zu diesem Kirchengesetz genannten Anforderungen, zu gewährleisten. 2Erforderlich sind Maßnahmen, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. (2) 1Jede kirchliche Stelle ist verpflichtet, IT-Sicherheit zu gewährleisten. 2Das Nähere regelt der Rat der EKD durch Rechtsverordnung mit Zustimmung der Kirchenkonferenz. 9 a Datenschutzaudit 1Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und Daten verarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch geeignete Stellen prüfen und EVLKA 13

14 95 A DSG-EKD Datenschutzgesetz bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. 2Näheres kann der Rat der EKD durch Rechtsverordnung regeln. 10 Einrichtung automatisierter Abrufverfahren (1) 1Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung personenbezogener Daten durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Person und des kirchlichen Auftrags der beteiligten Stellen angemessen ist. 2Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt. (2) Die beteiligten kirchlichen Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen: 1. Anlass und Zweck des Abrufverfahrens, 2. Dritte, an die übermittelt wird, 3. Art der zu übermittelnden Daten, 4. nach 9 erforderliche technische und organisatorische Maßnahmen. (3) 1Über die Einrichtung von Abrufverfahren sind die jeweils zuständigen Beauftragten für den Datenschutz nach 18 sowie die Betriebsbeauftragten oder die örtlich Beauftragten für den Datenschutz nach 22 unter Mitteilung der Festlegung nach Absatz 2 zu unterrichten. 2Die Errichtung von automatisierten Abrufverfahren mit nicht-kirchlichen Stellen kann von der Genehmigung einer anderen kirchlichen Stelle abhängig gemacht werden. (4) 1Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt die datenempfangende Stelle. 2Die speichernde kirchliche Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. 3Die speichernde kirchliche Stelle hat zu gewährleisten, dass die Übermittlung von personenbezogenen Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. 4Wird ein Gesamtbestand von personenbezogenen Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufs oder der Übermittlung des Gesamtbestandes. (5) 1Die Absätze 1 bis 4 gelten nicht für den Abruf allgemein zugänglicher Daten. 2Allgemein zugänglich sind Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts, nutzen kann. 11 Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag (1) 1Werden personenbezogene Daten im Auftrag durch andere Stellen oder Personen erhoben, verarbeitet oder genutzt, ist die beauftragende Stelle für die Einhaltung der Vor EVLKA

15 Datenschutzgesetz DSG-EKD 95 A schriften dieses Kirchengesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2Die in den 7 und 8 genannten Rechte sind ihr gegenüber geltend zu machen. (2) 1Die beauftragte Stelle darf die Daten nur innerhalb der Mitgliedsstaaten der Europäischen Union erheben, verarbeiten oder nutzen. 2Die Evangelische Kirche in Deutschland kann die Datenerhebung, -verarbeitung und -nutzung in Staaten außerhalb der Europäischen Union zulassen, wenn diese ein dem EKD-Datenschutzgesetz angemessenes gesetzliches oder vertraglich vereinbartes Datenschutzniveau nachgewiesen haben. (3) 1Die beauftragte Stelle oder Person ist unter besonderer Berücksichtigung der Eignung der von ihr getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 2Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 Absatz 1 zu treffenden technischen und organisatorischen Maßnahmen sowie ihre Kontrolle durch den Auftragnehmer, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die Verpflichtung der Beschäftigten des Auftragnehmers auf das Datengeheimnis nach 6, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnis, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 3Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. 4Das Ergebnis ist zu dokumentieren. (4) 1Die beauftragte Stelle oder Person darf die Daten nur im Rahmen der Weisungen der beauftragenden Stelle erheben, verarbeiten oder nutzen. 2Ist sie der Ansicht, dass eine Weisung der beauftragenden Stelle gegen dieses Kirchengesetz oder andere Vorschriften EVLKA 15

16 95 A DSG-EKD Datenschutzgesetz über den Datenschutz verstößt, hat sie die beauftragende Stelle unverzüglich darauf hinzuweisen. (5) Sofern die kirchlichen Datenschutzbestimmungen auf die beauftragte Stelle oder Person keine Anwendung finden, ist die beauftragende Stelle verpflichtet, sicherzustellen, dass die beauftragte Stelle diese Bestimmungen beachtet und sich der Kontrolle kirchlicher Datenschutzbeauftragter unterwirft. (6) Die Absätze 1 bis 5 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. (7) 1Das Recht der Evangelischen Kirche in Deutschland, der Gliedkirchen und der gliedkirchlichen Zusammenschlüsse kann bestimmen, dass vor der Beauftragung die Genehmigung einer kirchlichen Stelle einzuholen ist oder Muster-Vereinbarungen zu verwenden sind. 2Bei der Beauftragung anderer kirchlicher Stellen kann in den Rechtsvorschriften von Absatz 3 Satz 2 Nr. 3, 5, 7 und 9 und Satz 4 abgesehen werden. 12 Datenübermittlung an kirchliche oder sonstige öffentliche Stellen (1) Die Übermittlung von personenbezogenen Daten an kirchliche Stellen ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden oder der empfangenden kirchlichen Stelle liegenden Aufgaben erforderlich ist und 2. die Zulässigkeitsvoraussetzungen des 5 vorliegen. (2) 1Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde kirchliche Stelle. 2Erfolgt die Übermittlung auf Ersuchen der empfangenden kirchlichen Stelle, trägt diese die Verantwortung. 3In diesem Falle prüft die übermittelnde kirchliche Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben der datenempfangenden kirchlichen Stelle liegt, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht Abs. 4 bleibt unberührt. (3) 1Die Daten empfangende kirchliche Stelle darf die übermittelten Daten für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihr übermittelt werden. 2Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen des 5 Abs. 2 zulässig. (4) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten der betroffenen oder einer anderen Person in Akten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen der betroffenen oder einer anderen Person an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig EVLKA

17 Datenschutzgesetz DSG-EKD 95 A (5) Absatz 4 gilt entsprechend, wenn personenbezogene Daten innerhalb einer kirchlichen Stelle weitergegeben werden. (6) Personenbezogene Daten dürfen an Stellen anderer öffentlich-rechtlicher Religionsgemeinschaften übermittelt werden, wenn das zur Erfüllung der kirchlichen Aufgaben erforderlich ist, die der übermittelnden oder der empfangenden Stelle obliegen, und sofern sichergestellt ist, dass bei der empfangenden Stelle ausreichend Datenschutzmaßnahmen getroffen werden, und nicht offensichtlich berechtigte Interessen der betroffenen Person entgegenstehen. (7) Personenbezogene Daten dürfen an Behörden und sonstige öffentliche Stellen des Bundes, der Länder und der Gemeinden und der sonstigen Aufsicht des Bundes oder eines Landes unterstehenden juristischen Personen des öffentlichen Rechts übermittelt werden, wenn dies eine Rechtsvorschrift zulässt oder das zur Erfüllung der kirchlichen Aufgaben erforderlich ist, die der übermittelnden Stelle obliegen, und nicht offensichtlich berechtigte Interessen der betroffenen Person entgegenstehen. (8) 1Die Daten empfangenden Stellen nach Absatz 6 und 7 dürfen die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihnen übermittelt werden. 2Die übermittelnde Stelle hat sie darauf hinzuweisen. 13 Datenübermittlung an sonstige Stellen (1) Die Übermittlung von personenbezogenen Daten an sonstige Stellen oder Personen ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden kirchlichen Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach 5 zuließen, oder 2. eine Rechtsvorschrift dies zulässt oder 3. die datenempfangenden Stellen oder Personen ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegen und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, es sei denn, dass Grund zu der Annahme besteht, dass durch die Übermittlung die Wahrnehmung des Auftrags der Kirche gefährdet würde. (2) Das Übermitteln von besonderen Arten personenbezogener Daten nach 2 Abs. 11 ist abweichend von Satz 1 Nr. 3 nur zulässig, soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist. (3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde kirchliche Stelle; durch Kirchengesetz oder durch kirchliche Rechtsverordnung kann die Übermittlung von der Genehmigung einer anderen kirchlichen Stelle abhängig gemacht werden EVLKA 17

18 95 A DSG-EKD Datenschutzgesetz (4) 1In den Fällen der Übermittlung nach Absatz 1 Nr. 3 unterrichtet die übermittelnde kirchliche Stelle die betroffene Person von der Übermittlung ihrer Daten. 2Dies gilt nicht, wenn damit zu rechnen ist, dass sie davon auf andere Weise Kenntnis erlangt oder die Wahrnehmung des Auftrags der Kirche gefährdet würde. (5) 1Die Daten empfangenden Stellen und Personen dürfen die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihnen übermittelt werden. 2Die übermittelnde Stelle hat sie darauf hinzuweisen. 14 Durchführung des Datenschutzes (1) Die Evangelische Kirche in Deutschland und die Gliedkirchen sind jeweils für ihren Bereich für die Einhaltung eines ausreichenden Datenschutzes verantwortlich. (2) Sie haben dafür zu sorgen, dass die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, überwacht wird. 15 Auskunft an die betroffene Person (1) Der betroffenen Person ist auf Antrag Auskunft zu erteilen über 1. die zu ihr gespeicherten Daten, auch soweit sie sich auf Herkunft oder empfangende Stellen dieser Daten beziehen, und 2. die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und 3. den Zweck der Speicherung. (2) 1In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden. 2Sind die personenbezogenen Daten in Akten gespeichert, wird die Auskunft nur erteilt, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem geltend gemachten Informationsinteresse steht. 3Die verantwortliche Stelle bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen. (3) Auskunft kann nicht erteilt werden, soweit die Daten oder die Tatsache ihrer Speicherung aufgrund einer speziellen Rechtsvorschrift oder wegen überwiegender berechtigter Interessen Dritter geheim gehalten werden müssen und das Interesse der betroffenen Person an der Auskunftserteilung zurücktreten muss oder wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird. (4) Die Auskunft ist unentgeltlich EVLKA

19 Datenschutzgesetz DSG-EKD 95 A 15 a Benachrichtigung 1Werden personenbezogene Daten ohne Kenntnis der betroffenen Person erhoben, so ist diese darüber zu unterrichten. 2Dies gilt nicht, wenn 1. die betroffene Person davon auf andere Weise Kenntnis erlangt hat, 2. die Unterrichtung einen unverhältnismäßigen Aufwand erfordert oder 3. die Speicherung oder Übermittlung der erhobenen Daten durch Rechtsvorschrift ausdrücklich vorgesehen ist. Die betroffene Person ist auch bei regelmäßigen Übermittlungen von Daten über die Empfänger oder Kategorien von Empfängern von Daten zu unterrichten, soweit sie nicht mit der Übermittlung an diese rechnen muss. 16 Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht (1) 1Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. 2Wird festgestellt, dass personenbezogene Daten, die weder automatisiert verarbeitet noch in nicht automatisierten Dateien gespeichert sind, unrichtig sind, oder wird ihre Richtigkeit von der betroffenen Person bestritten, so ist dies in geeigneter Weise festzuhalten. (2) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind zu löschen, wenn 1. ihre Speicherung unzulässig ist oder 2. ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist. (3) An die Stelle einer Löschung tritt eine Sperrung, soweit 1. einer Löschung Rechtsvorschriften, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, 2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen der betroffenen Personen beeinträchtigt würden, oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. (4) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind ferner zu sperren, soweit ihre Richtigkeit von der betroffenen Person bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. (4a) 1Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, so EVLKA 19

20 95 A DSG-EKD Datenschutzgesetz weit die betroffene Person dem bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse der betroffenen Person wegen ihrer besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. 2Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet. (5) Personenbezogene Daten, die weder automatisiert verarbeitet noch in einer nicht automatisierten Datei gespeichert sind, sind zu sperren, wenn die kirchliche Stelle im Einzelfall feststellt, dass ohne die Sperrung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden und die Daten für die Aufgabenerfüllung nicht mehr erforderlich sind. (6) Gesperrte Daten dürfen ohne Einwilligung der betroffenen Person nur übermittelt oder genutzt werden, wenn 1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen kirchlichen Stelle oder Dritter liegenden Gründen unerlässlich ist und 2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären, und die Wahrnehmung des kirchlichen Auftrags nicht gefährdet wird. (7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die kirchlichen Stellen zu verständigen, denen im Rahmen einer regelmäßigen Datenübermittlung diese Daten zur Speicherung weitergegeben werden, wenn dies zur Wahrung schutzwürdiger Interessen der betroffenen Person erforderlich ist. (8) Vorschriften der kirchlichen Stellen, die das Archivwesen betreffen, bleiben unberührt. 17 Anrufung der Beauftragten für den Datenschutz 1(1) Jede Person kann sich an den zuständigen Beauftragten oder die zuständige Beauftragte für den Datenschutz wenden, wenn sie der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten durch kirchliche Stellen in ihren Rechten verletzt worden zu sein. 2Für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch kirchliche Gerichte gilt dies nur, soweit diese in eigenen Angelegenheiten als Verwaltung tätig werden. (2) 1Niemand darf wegen der Mitteilung von Tatsachen, die geeignet sind, den Verdacht aufkommen zu lassen, das kirchliche Datenschutzgesetz oder eine andere Rechtsvorschrift über den Datenschutz sei verletzt worden, gemaßregelt oder benachteiligt werden. 2Mitarbeitende der kirchlichen Stellen müssen für Mitteilungen an die Beauftragten für den Datenschutz nicht den Dienstweg einhalten EVLKA

21 Datenschutzgesetz DSG-EKD 95 A 18 Rechtsstellung der Beauftragten für den Datenschutz (1) Die Evangelische Kirche in Deutschland, ihre Gliedkirchen und ihre gliedkirchlichen Zusammenschlüsse bestellen je für ihren Bereich Beauftragte für den Datenschutz, soweit die Wahrnehmung nicht nach 18b Absatz 1 übertragen worden ist. (2) 1Die Amtszeit soll mindestens vier, höchstens acht Jahre betragen und setzt sich bis zum Amtseintritt der Nachfolge fort. 2Die erneute Bestellung ist zulässig. 3Die Tätigkeit ist hauptamtlich auszuüben. 4Nebentätigkeiten sind nur zulässig, soweit dadurch das Vertrauen in die Unabhängigkeit und Unparteilichkeit nicht gefährdet wird und die Voraussetzungen der 46 bis 48 des Kirchenbeamtengesetzes der EKD erfüllt sind. (3) 1Zu Beauftragten für den Datenschutz dürfen nur Personen bestellt werden, welche die zur Erfüllung ihrer Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen. 2Sie müssen die Befähigung zum Richteramt oder zum höheren Dienst besitzen. 3Sie müssen einer Gliedkirche der Evangelischen Kirche in Deutschland angehören. 4Die beauftragte Person ist auf die gewissenhafte Erfüllung ihrer Amtspflichten und die Einhaltung der kirchlichen Ordnung zu verpflichten. (4) 1Die Beauftragten für den Datenschutz stehen einer eigenen Behörde vor und sind in Ausübung ihres Amtes an Weisungen nicht gebunden und nur dem kirchlichen Recht unterworfen. 2Die Ausübung des Amtes geschieht in organisatorischer und sachlicher Unabhängigkeit. 3Die Dienstaufsicht ist so zu regeln, dass dadurch die Unabhängigkeit nicht beeinträchtigt wird. 4In der Ausübung ihres Amtes dürfen sie nicht behindert und wegen ihres Amtes als Beauftragte für den Datenschutz weder benachteiligt noch begünstigt werden. (5) 1Eine Kündigung von Beauftragten für den Datenschutz im Arbeitsverhältnis ist während der Amtszeit nur zulässig, soweit Tatsachen vorliegen, die zu einer Kündigung aus wichtigem Grund berechtigen. 2Dies gilt für den Zeitraum von einem Jahr nach Beendigung des Amtes entsprechend. (6) Beauftragte für den Datenschutz im Kirchenbeamtenverhältnis können innerhalb der Amtszeit nur entlassen werden, wenn die Voraussetzungen der 76, 77, 79 oder 80 des Kirchenbeamtengesetzes der EKD vorliegen oder ein Disziplinargericht auf Entfernung aus dem Dienst erkennt. (7) 1Den Beauftragten für den Datenschutz wird die für die Erfüllung ihrer Aufgaben notwendige Sach- und Personalausstattung zur Verfügung gestellt. 2Die Haushaltsmittel sind im Haushaltsplan gesondert auszuweisen. 3Die Besetzungen der Personalstellen erfolgen im Einvernehmen mit den Beauftragten für den Datenschutz. 4Die Mitarbeitenden unterstehen der Dienst- und Fachaufsicht der Beauftragten für den Datenschutz und können, falls sie mit der beabsichtigten Maßnahme nicht einverstanden sind, nur im Einvernehmen mit den Beauftragten für den Datenschutz versetzt, abgeordnet oder umgesetzt werden EVLKA 21

22 95 A DSG-EKD Datenschutzgesetz (8) 1Die Beauftragten für den Datenschutz treffen die Entscheidung über Aussagegenehmigungen für sich und ihre Mitarbeitenden in eigener Verantwortung. 2Die Beauftragten für den Datenschutz gelten als oberste Aufsichtsbehörde im Sinne des 99 Verwaltungsgerichtsordnung. (9) 1Die Beauftragten für den Datenschutz bestellen aus dem Kreis ihrer Mitarbeitenden Vertreter oder Vertreterinnen. 2Dies können daneben auch Beauftragte für den Datenschutz anderer Gliedkirchen oder der oder die Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland sein. (10) 1Beauftragte für den Datenschutz und ihre Mitarbeitenden sind verpflichtet, über die ihnen amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. 2Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. 3Die Verpflichtung besteht auch nach Beendigung des Dienst- oder Arbeitsverhältnisses. 4Beauftragte für den Datenschutz und ihre Mitarbeitenden dürfen, auch wenn sie nicht mehr im Amt sind, über Angelegenheiten, die der Verschwiegenheit unterliegen, ohne Genehmigung ihrer Dienstherren weder vor Gericht noch außergerichtlich aussagen oder Erklärungen abgeben. 18 a Der oder die Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland Der Rat der Evangelischen Kirche in Deutschland bestellt für den Bereich der Evangelischen Kirche in Deutschland und ihres Evangelischen Werkes für Diakonie und Entwicklung sowie für die gesamtkirchlichen Werke und Einrichtungen eine oder einen Beauftragten für den Datenschutz. 18 b Beauftragte für den Datenschutz der Gliedkirchen der Evangelischen Kirche in Deutschland (1) Die Gliedkirchen der EKD und ihre gliedkirchlichen Zusammenschlüsse bestellen einzeln oder gemeinschaftlich Beauftragte für den Datenschutz, soweit deren Aufgaben nicht dem oder der Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland übertragen werden. (2) Die Gliedkirchen der EKD können bestimmen, dass für ihren diakonischen Bereich besondere Beauftragte für den Datenschutz bestellt werden EVLKA